web-dev-qa-db-fra.com

ComputRace est-il un porte-backdoor permanent?

Je lisais sur Computrace et cette chose est à peu près une porte d'arrière-boule de dos et irréprochable. C'est dans le micrologiciel, dans le BIOS et survit la mise en forme et même le changement de disque dur et le système d'exploitation est réinstallé.

Une certaine question est venue à l'esprit,

  1. Computrace fonctionne-t-il avec Linux?

  2. Computrace fonctionne-t-il toujours lorsque vous utilisez VPN ou TOR?

  3. Comment découvrez-vous si c'est sur l'ordinateur, même si inactif?

J'ai fait des choses en ligne et cet exploit/backdoor est très dangereux. Il peut essentiellement obtenir des informations et l'envoyer à la maison et une pilule empoisonnée et un dispositif de suivi. L'un des problèmes que j'ai remarqués est l'achat de cahiers utilisés que vous ne pouvez pas être résolu ne sont pas volés.

Lisez ceci: http://www.freakyacres.com/remove_computtrace_lojack

Un commentaire était particulièrement intéressant, apparemment provenant d'un flic, qui revendique (citation)

"C'est bien gentil en théorie de s'asseoir ici et de parler de la façon dont vous pensez pouvoir désactiver le logiciel, mais d'une perspective de l'application de la loi, je peux vous dire que c'est beaucoup plus persistant que vous ne le savez et Cela fait beaucoup plus que vous ne le pensez. "

Cela ne semble pas bon et c'est à peu près un tueur de sécurité de l'information.

Est-ce que je manque quelque chose ici ou est-ce un exploit/backdoor permanent et irrémeuble?

exploit
9
elipconis

Selon - "Compuce absolu revisité" et "exigences absolues de calcul/système" Les réponses à vos questions sont les suivantes:

  1. Oui (Ubuntu, Debian). Il ne devrait pas y avoir de gros problème pour les développeurs de Computrace pour le faire fonctionner avec RH ou SUSE, je crois, car les versions SW, le placement des binaires et des emballages sont plus ou moins standard dans ces distributions également. RH SELINUX et SUSE APPARMOR peuvent être un peu un problème, mais c'est plus administratif (pour obtenir un profil approprié intégré) que technique.

  2. Oui probablement. Étant donné que VPN vient simplement envelopper le trafic IP et les itinéraires à un autre endroit, CompanTrace suivra ce routage. Si les adresses qu'il souhaite contacter sont routées sur VPN Gateway et que la passerelle ne connaît pas/n'est pas configurée pour acheminer davantage ces adresses, CompanTrace ne fonctionnera pas, mais ce problème n'est pas spécifique au VPN, il en va de même pour tout routeur qui a des tables de routage configurables. Quant à Tor si un proxy Tor est défini dans IE Propriétés d'un utilisateur, alors IE lancé par Computrace utilisera également ce paramètre. Autres moyens de se connecter à Internet ne sont pas annoncés, mais il n'ya aucun problème aux développeurs Computrace pour construire une détection de présence et agir en conséquence.

  3. Sur la première page liée, il existe une liste de signes de présence ComputRace sur un ordinateur. Également sur le site officiel ComputRace, une liste de modèles d'ordinateurs portables où CompanTrace est préinstallé par les fabricants, donc si vous achetez un nouvel ordinateur portable figurant dans la liste - vous avez ComputRace.

Et la réponse à votre dernière question serait "oui, mais ..." Techniquement Computrace est une permanente inemovible (pour un utilisateur moyen/supérieur à la moyenne ) porte arrière. Légalement, il n'a pas été développé avec des intentions malveillantes dans l'esprit (ou j'espère donc) au moins dans certains pays, ce n'est pas considéré comme un logiciel malveillant. Ce n'est pas un exploit en soi, car il a été fait pour fonctionner exactement comme il fonctionne, mais il peut être exploité par des mauvais gars, tout comme n'importe quel autre SW compatible réseau.

5
Yaris

Mise à jour et modifiée Réponse 2017 août

IMPORTANT! Notez que la réponse précédente pourrait être obsolète. Kaspersky a fait une recherche sur Computrace en 2014 août, qui est déjà déjà de 2 ans obsolète!

Donc oui, Computrace semble être un porte-backdoor permanent, sauf si vous avez une expérience matérielle pour inspecter et suivre la modification du BIOS, décrite par Kaspersky. Toute autorité ou pirate informatique peut modifier les fichiers et prendre son contrôle total sur votre machine, y compris la surveillance de l'activité complète et la suppression de fichiers.

Réponses selon 2017:

  1. Nous ne savons pas, mais: Sources secondaires (comme Kaspersky @ YouTube et https://bartblaze.blogspot.de/2014/11/hembers-on-absolute-computtrace.html ) Voir Ubuntu/Debian Les agents, qui ne sont pas trouvés sur le site officiel, sont prises en charge. J'ai également fait un paquet Wireshark Capturer avec Linux et je n'ai trouvé aucune activité suspecte énumérée à la fin de la présentation de Kaspersky. EXE ne fonctionne pas sur Linux, sauf si vous avez installé du vin.

Dans un courrier de 2007 Absolute semble représenter la philosophie que Linux est un système d'exploitation mineur, c'est pourquoi ils ne le soutiennent pas:

"De: Miguel Guhlin [Mailto: [email protected]] Envoyé: lundi 22 janvier 2007 à: John Livingston Sujet: Re: 10 avril 2006 Article" Protéger les fichiers supprimés "- Référence à ComputRace

(...)

1) Et si le disque dur est répartitionné et que les utilisateurs utilisent le scénario à double démarrage, un côté exécutant Linux et les autres fenêtres? Si exécuté Linux, Computer serait toujours fonctionner?

Après la répartition de Computrace fonctionnera lors de l'exécution de Windows.

2) Vous mentionnez que gomme de gomme ne causerait pas de suppression de Computrace. Si Computrace fait partie du BIOS, j'imagine que ce ne serait pas. Toutefois, si la machine est reformatée à l'aide d'un utilitaire tel que Darik's Boot-Nuke, chargé avec un nouveau système d'exploitation (E.G. Linux), puis appuyé dans le service, serait-il capable de trouver l'équipement? En d'autres termes, cela fonctionnerait-il toujours comme annoncé?

Eh bien, nous prenons en charge Windows et Mac OS 10+ donc oui; Nous travaillerions si nous avons redémarré dans un monde Windows, mais pas si l'utilisateur démarre dans Linux. "

(Artisanat complet: http://www.mguhlin.org/2008/10/computtrace-revisited.html?_escaped_fragment_=# !)

Mais je suppose que c'est juste une question de temps pour le développer. 2 ans ont passé, et ils n'écrivent toujours rien à ce sujet. Kaspersky s'est avéré sur une démonstration en direct, que des fichiers modifiés sont autorisés à exécuter dans votre système (gagnant).

  1. Oui, Computrace réside dans votre BIOS, il dispose donc du privilège le plus élevé d'envoyer des données collectées sur votre activité réelle. Aussi ici, l'auteur de la source secondaire dit qu'il ne disparaît pas avec des reflases. Certains autres articles disent, c'est sur une puce. De toute évidence, il existe différentes informations de différents temps et versions. Même si cela montre "non activé", cela ne signifie pas que Computrace ne fonctionne pas et ne téléphonant pas à la maison.

  2. Vous faites une inspection du bios matériel. Sinon, les outils logiciels ne sont pas fiables, mais Kaspersky fournit également quelques informations à la fin de la présentation et comment la tuer. Mais ils avertissent tout le monde de ne pas gâcher avec elle, à moins que vous n'ayez de expérience dans le BIOS, vous pouvez vous permettre de l'activer de manière définitive et que même absolu peut l'éteindre. Si nous supposons que nous ne sommes pas infectés de Backdoor, nous pouvons compter partiellement sur une inspection propre Wireshark. Si vous savez comment moder un BIOS, vous le faites également vous-même, ou faites-la confiance à quelqu'un avec cela.

AVERTISSEMENT: Vous devez effectuer votre propre test WireShark avec votre propre configuration de distribution et matérielle Linux. Ne courez pas WireShark comme superutilisateur!

"Sudo AddGroup -System SudShark Sudo Nappe root: Wireshark/USR/Bin/benne à benne-benne Sudo SetCap Cap_net_raw, CAP_NET_ADMIN = EIP/USR/BIN/DUTPCAP SUDO UEMERMOD -A -G WireShark Your_User_Name

Ensuite, commencez simplement Wireshark et sélectionnez l'interface réseau. Cela a fonctionné pour moi sur 10.04 lts. lien permanent

répondu 04 avril '12, 11:41 Kyphos "

Sinon mauvaise nouvelle, il n'y a toujours rien de 100% fiable à ce sujet, surtout pas à propos de Linux. Vous pouvez essayer d'acheter du matériel open source ou militaire.

(Je ne pouvais pas lier beaucoup, mais copiez les choses citées pour plus de sources si vous le souhaitez)

1
TriloByte